Группа по выпуску единых показателей для оценки ИТ-безопасности

Центр интернет-безопасности (СНГ) намерен опубликовать рекомендации о том, как предприятия могут измерять состояние безопасности своей организации и запускать сервис для компаний, чтобы сравнить их эффективность со своими сверстниками.

Последний проект СНГ направленный на устранение путаницы и отсутствие единообразия в способах измерения того, улучшается ли безопасность ИТ предприятия или организации, сказал Берт Миуччио, генеральный директор СНГ.

«Проблема, которую мы осознали, заключается в том, что информационная безопасность профессионалы действительно все больше путаются, как определить успех », - сказал Миуччио. «Они знают, что соответствие нормативным требованиям и структурам аудита не обязательно приводит к повышению безопасности и не являются лучшими мерами успеха».

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

CIS - это некоммерческая организация, финансируемая предприятиями и другими организациями, заинтересованными в обеспечении безопасности. Поскольку он был сформирован в 2000 году, он создал 40 эталонных тестов для конфигураций безопасности по умолчанию для программного обеспечения, от операционных систем до промежуточного программного обеспечения до сетевых устройств. Тесты, которые являются бесплатной загрузкой на веб-сайте СНГ, призваны помочь организациям снизить риски ИТ-безопасности.

Каждый специалист по безопасности имеет разные определения того, как оценивать меры безопасности, сказал Миуччио. В СНГ собрано 85 экспертов по информационной безопасности для согласования методов измерения восьми разных показателей. Метрики должны быть опубликованы в конце октября или начале ноября, сказал Миуччио.

Два показателя «результат»: среднее время между инцидентами безопасности и среднее время для восстановления после инцидентов безопасности. Остальные шесть относятся к процессу: процент систем, настроенных на утвержденные стандарты; процент систем, исправленных для политики; процент систем с антивирусной технологией; процент бизнес-приложений, имеющих оценку риска; процент бизнес-приложений, имеющих оценку проникновения или уязвимости; и процент кода приложения, который имеет оценку безопасности или обзор кода перед развертыванием.

Наряду с показателями, CIS планирует запустить примерно в то же время программное обеспечение для компаний, чтобы сравнить, как они это делают, с точки зрения безопасности, против других анонимных компаний на их рыночной вертикали. Этот тип сравнения уже обычно используется для финансовых результатов и других аспектов эффективности бизнеса, таких как обслуживание клиентов.

«Сегодня это не сделано в области информационной безопасности, - сказал Миуччио. «Мы считаем, что эта услуга начнет это включать».